باج‌افزار Ryuk: اکنون با قابلیت خودتکثیری

18 اسفند 1399 باج‌افزار Ryuk: اکنون با قابلیت خودتکثیری

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ باج‌افزار Ryuk اکنون در انبار مهمات خود ترفند جدیدی جاگذاری کرده است: خودتکثیری[1] از طریق اشتراک‌گذاری‌های بلوک پیام سرور[2] (SMB) و اسکن پورت[3]. طبق یافته‌های محققین، نسخه‌ی جدید باج‌افزار Ryuk قادر است در شبکه‌ی اینترنت محلی همچون کرم خود را تکثیر کند. به نقل از آژانس ملی فرانسه برای امنیت سیستم‌های اطلاعاتی[4] (ANSSI)، این مدل متغیر اوایل سال 2021 در کمپین‌های ویندوز محور ظاهر شد. این آژانس در ادامه اظهار می‌کند خودتکثیریِ این نسخه‌ی جدید با اسکن اشتراک‌گذاری‌های شبکه‌ای[5] و بعد کپی کردن نسخه‌ی منحصر به فردی از فایل قابل‌اجرای باج‌افزار (با فایل‌نیم rep.exe یا lan.exe) در هر یک از آن‌ها ممکن می‌شود. طبق آخرین گزارشات، «Ryuk به دنبال اشتراک‌گذاری‌های شبکه‌ی روی زیرساخت آی‌تی قربانی می‌گردد و برای اجرایی کردن آن، برخی دامنه‌های آی‌پی را اسکن می‌کند: 10.0.0.0/8; 172.16.0.0/16 و 192.168.0.0/16. وقتی اجرا شد، سپس خود را در هر دستگاه موجودی که دسترسی‌های RPC[6] رویشان ممکن است توزیع و تکثیر می‌کند».

نسخه‌ی جدید Ryuk همچنین جداول پروتکل تفکیک آدرس[7] (ARP) دستگاه‌های مبتلا را مورد بررسی قرار می‌دهد؛ جداولی که کارشان ذخیره‌سازی آدرس‌های آی‌پی و آدرس‌های مک متعلق به هر دستگاه شبکه -که این دستگاه‌ها با آن‌ها در ارتباط هستند - است. این نسخه‌ سپس –طبق گفته‌های ANSSI– برای هر میزبان بسته‌ی [8]Wake-On-LAN می‌فرستد تا کامپیوترهای خاموش را بیدار کند!. «واریانت باج‌افزار Ryuk هر چند تعداد آدرس آی‌پی ممکن را روی شبکه‌های اینترنتی محلی تولید و برای هر یک از آن‌ها پینگ[9] ICMP ارسال می‌کند. همچنین آدرس‌های آی‌پی کش[10] محلی ARP  را نیز فهرست نموده و برایشان بسته (wake-up) ارسال می‌کند». Ryuk سپس با استفاده از SMB تلاش می‌کند برای هر میزبان شناسایی‌شده شبکه‌های اینترنتی احتمالی سوار کند. SMB کارکرد ویندوزی است که اشتراک‌گذاری، باز کردن یا ویرایش کردن فایل‌ها با/روی کامپیوترها و سرورهای ریموت را ممکن می‌سازد.

وقتی همه اشتراک‌گذاری‌های موجود شبکه شناسایی یا ساخته شد، پی‌لود سپس روی تارگت‌های جدید نصب شده و با استفاده از یک تسک برنامه‌ریزی‌شده خودش را اجرا می‌کند؛ همین اجازه می‌دهد Ryuk محتوای تارگت‌ها را رمزگذاری کرده و برای جلوگیری از ریکاوری، هر کپی Volume Shadow[11] را پاک کند. ANSSI چنین توضیح می‌دهد، «تسکِ برنامه‌ریزی‌شده از طریق فراخوانی در ابزار سیستم schtasks.exe–ابزار بومی ویندوز- ساخته می‌شود». فایل‌ها با استفاده از Microsoft CryptoAPI با الگوریتم AES256 رمزگذاری می‌شوند (از طریق کلید منحصر به فرد AES که برای هر فایل تولید می‌شود). کلید AES همچنین در کلید عمومی RSA پوشانیده دشه است؛ کلیدی ذخیره‌شده در باینری کد. این بدافزار همچنین بر اساس لیست‌های هاردکدشده (شامل فهرستی از 41 پروسه که باید بسته شوند و لیستی از 64 سرویس که باید متوقف گردند) چندین برنامه را قطع می‌کند.

چطور می‌شود عفونت کِرم Ryuk را مهار کرد؟

در خصوص جلوگیری از ابتلا، باج‌افزار Ryuk معمولاً توسط یک بدافزار اولیه‌ی «دراپر» که حکم سرباز خط مقدم در هر حمله را دارد لود می‌شود؛ اینها عبارتند از Emotet، TrickBot، Qakbot و Zloader (تنها بعنوان چند نمونه). مهاجمین از آنجا برای تنظیم حرکت جانبی خود، به دنبال افزایش امتیازات و مزیت‌های خود می‌گردند. از این رو دفاعی مؤثر باید شامل اقدامات متقابلی شود؛ اقداماتی که این حملات را در نطفه خفه کند. وقتی آلودگی صورت گرفت دیگر همه‌چیز پیچیده‌تر از قبل می‌شود. طبق مشاهدات محققین ANSSI نقطه ابتلای اولیه در کمپین 2021 اکانت دامنه ممتاز بوده است. تحلیل‌ها نشان می‌دهد نسخه‌ی خود تکثیر و کرم‌مانند Ryuk با خفه کردن نقطه اولیه آلودگی هم باز نمی‌تواند خنثی شود. بنابرگزارشات، «اکانت ممتاز دامنه برای تکثیر بدافزار استفاده می‌شود. اگر پسورد کاربر تغییر کند، این تکثیر مادامیکه کلیدهای احراز هویت منقضی نشده‌اند ادامه خواهد داشت. اگر اکانت کاربر غیرفعال شود این مسئله مثل قبل باقی خواهد ماند». نسخه‌های قبلی این بدافزار از MUTEX[12] استفاده می‌کردد تا مطمئن شوند هر میزبان مورد نظر در آن واحد فقط به یک پروسه Ryuk دسترسی داشته است.

Ryuk : دیو چند سر

باج‌افزار Ryuk ابتدا در سال 2018 مشاهده شد؛ آن هم بعنوان واریانت باج‌افزار Hermes 2.1. اما برخلاف Hermes، این واریانت در بازارهای زیرزمینی همچون تالار گفت‌وگوی Exploit فروخته نمی‌شود. طبق گزارشات ANSSI، «هنوز در مورد خصوص خاستگاه Ryuk اجماع نظر صورت نگرفته است. ظاهر Ryuk می‌تواند در نتیجه‌ی دریافت کد منبع Hermes 2.1  توسط گروه مهاجم دیگر باشد که شاید از همین نقطه آغاز اقدام به ساخت Ryuk کرده است».  محققین اینطور نظریه خود را مطرح می‌کنند که Ryuk به عنوان یک کیت‌ابزار برای گروه‌های مهاجم فروخته می‌شود. مهاجمین آن را برای ساخت باج‌افزار «باب دندان» خود به کار می‌گیرند. برای همین ممکن است به ازای هر گروه مهاجم که کد را بخرد، واریانت وجود داشته باشد.

 

 

 

[1] Self-Propagation

[2] Server Message Block

[3]   Port Scanningیکی از محبوب‌ترین روش‌هایی می‌باشد که نفوذگران برای تشخیص سرویس‌های راه‌اندازی شده در یک میزبان هدف (host target) استفاده می‌کنند.

[4] French National Agency for the Security of Information Systems

[5] network shares

[6] Remote Procedure Call

[7] Address Resolution Protocol

[8] بیدارشدن از شبکه، یک سیستم استاندارد شبکه است که اجازه روشن یا همان بیدار شدن را با یک پیغام شبکه به کامپیوتر می‌دهد. این پیغام معمولاً توسط یک برنامه ساده بر روی سیستمی دیگر روی همان شبکه محلی ارسال می‌شود. بیدار شدن از شبکه یا همان Wake-on-LAN را به اختصار WOL نیز می‌نامند.

[9] یک ابزار شبکه‌ای است که برای آزمایش میزان دسترسی‌پذیری یک میزبان در شبکهٔ پروتکل اینترنت به کار می‌رود و می‌تواند زمان رفت و برگشت برای بسته‌های فرستاده شده از میزبان تا یک رایانهٔ مقصد را بر حسب میلی ثانیه محاسبه کند.

[10] cache

[11] به قابلیت کپی گرفتن از فایلهایی که حاظر در محیط شبکه باز میباشند از جمله مواردی است که در صورتیکه کاربری بصورت اشتباهی فایلی را پاک کند و یا در آن تغییراتی بدهد سریعا میتوانیم تغییرات موجود را به حالت عادی برگرداندیم در این حالت تغییرات در داخل درایوی که فولدر مربوطه به اشتراک گذاشته شده است و در داخل System Volume Information ذخیره میشوند.

[12] Mutual Exclusion Objects

 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد